Dela via

Återkalla en verifierbar autentiseringsuppgift

  • Artikel

Som en del av processen med att arbeta med verifierbara autentiseringsuppgifter utfärdar du autentiseringsuppgifter, och ibland måste du återkalla dem. I den här artikeln granskar vi egenskapsdelen Status i specifikationen för verifierbara autentiseringsuppgifter. Vi tar också en närmare titt på återkallelseprocessen, varför vi vill återkalla autentiseringsuppgifter och vissa data- och sekretesskonsekvenser.

Varför återkalla en verifierbar autentiseringsuppgift?

Varje kund har sina egna unika skäl för att vilja återkalla en verifierbar autentiseringsuppgift. Här är några vanliga scenarier:

  • Student-ID: Studenten är inte längre aktiv student vid universitetet.
  • Medarbetar-ID: Medarbetaren är inte längre en aktiv medarbetare.
  • Tillståndskörkort: Föraren bor inte längre i det tillståndet.

Hur fungerar återkallande?

Microsoft Entra – verifierat ID implementerar W3C StatusList2021. När presentationen av API:et för begärandetjänsten sker kontrollerar API:et återkallningsstatusen. Återkallningskontrollen sker över ett anonymt API-anrop till Identity Hub och innehåller inga data om vem som kontrollerar om den verifierbara autentiseringsuppgiften fortfarande är giltig eller återkallad. Med statusList2021behåller Microsoft Entra – verifierat ID en flagga efter det hashade värdet för det indexerade anspråket för att hålla reda på återkallningsstatusen.

Verifierbara data om autentiseringsuppgifter

I varje Microsoft-utfärdad verifierbar autentiseringsuppgift finns det ett anspråk som heter credentialStatus. Dessa data är en navigeringskarta där den här verifierbara autentiseringsuppgiften i ett datablock har sin anropsflagga.

Kommentar

Om den verifierbara autentiseringsuppgiften är gammal och utfärdades under förhandsgranskningsperioden finns inte det här anspråket. Återkallningen fungerar inte för den här autentiseringsuppgiften och du måste skicka den på nytt.


...
"credentialStatus": { 
    "id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Utfärdarens API-slutpunkt för identitetshubben

I den utfärdande partens decentraliserade ID-dokument är identitetshubbens slutpunkt tillgänglig i service avsnittet.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                ],
                "origins": [ ]
             }
         }
    ],

Skapa en återkallningsbar verifierbar autentiseringsuppgift

Microsoft Entra – verifierat ID lagrar inte verifierbara autentiseringsdata. Utfärdaren måste indexera ett anspråk för att göra autentiseringsuppgifterna sökbara. Endast ett anspråk kan indexeras, och om det inte finns något kan du inte återkalla autentiseringsuppgifter. Det valda anspråket för index saltas och hashas och lagras inte som dess ursprungliga värde.

Kommentar

Hashing är en enkelriktad kryptografisk åtgärd som omvandlar en indata, som kallas preimage, och genererar en utdata som kallas en hash som har en fast längd. Det är för närvarande inte beräkningsmässigt möjligt att återställa en hash-åtgärd.

Exempel: I följande exempel displayName är indexanspråket. Du kan bara söka via användarens fullständiga namn och inget annat.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Viktigt!

Du kan bara indexering ett anspråk från en regel anspråk mappning. Om du av misstag inte har något indexerat anspråk i regeldefinitionen, och du senare korrigerar det här misstaget, är inga verifierbara autentiseringsuppgifter som utfärdats före ändringen sökbara eftersom inget index fanns vid utfärdandet.

Hur gör jag för att återkalla en verifierbar autentiseringsuppgift?

Du kan använda indexerade anspråk i verifierbara autentiseringsuppgifter för att söka efter utfärdade verifierbara autentiseringsuppgifter och återkalla dem.

  1. Gå till fönstret Verifierat ID i Azure Portal som administratörsanvändare med behörighet att signera nyckeln för Azure Key Vault.

  2. Välj den verifierbara autentiseringstypen.

  3. På menyn längst till vänster väljer du Återkalla en autentiseringsuppgift.

    Skärmbild som visar återkallande av autentiseringsuppgifter.

  4. Sök efter det indexerade anspråket för den användare som du vill återkalla. Indexering av ett anspråk är ett krav för att kunna söka efter en autentiseringsuppgift.

    Skärmbild som visar de autentiseringsuppgifter som ska återkallas.

    Viktigt!

    Vi lagrar bara en hashversion av ett indexerat anspråk. Det innebär att endast exakta matchningar av värdet som lagras i det indexerade anspråksarbetet. När du anger information i textrutan hashas den med samma algoritm. Det här hash-värdet används sedan för att söka efter en matchning till det lagrade hash-anspråket. Om du inte hittar någon matchning kanske du har angett fel information eller så kanske anspråket inte indexeras.

  5. När en matchning hittas väljer du alternativet Återkalla till höger om de autentiseringsuppgifter som du vill återkalla.

    Administratörsanvändaren som utför återkallningsåtgärden måste ha behörighet att signera nyckel för Key Vault, annars visas felmeddelandet "Det går inte att komma åt Key Vault-resursen med angivna autentiseringsuppgifter".

    Skärmbild som visar en varning som anger att användaren fortfarande har autentiseringsuppgifterna efter återkallningen.

  6. Efter ett lyckat återkallningsfel visas statusuppdateringen och en grön banderoll visas överst på sidan.

    Skärmbild som visar ett korrekt återkallat verifierbart meddelande om autentiseringsuppgifter.

API:et för begärandetjänsten anger en återkallad autentiseringsuppgift i motringningen presentation_verified som .REVOKED Beroende på om den angivna presentationsbegäran tillåter att återkallade autentiseringsuppgifter visas lyckas eller misslyckas presentationen av en återkallad autentiseringsuppgift.

Nästa steg